进入虚拟化 Rootkit呼唤新的安全技术

进入虚拟化 Rootkit呼唤新的安全技术（精选3篇）

篇1：进入虚拟化 Rootkit呼唤新的安全技术

关于rootkit我们谈得已经够多了，但如今，随着虚拟机的普及，它已经悄然进入了虚拟化的世界，比方说，安全研究人员可以用英特尔处理器中的虚拟机指令将rootkit隐藏于虚拟化层中。当然，目前可能还没发现 们开发这种更加恶毒的软件。因为即使不依靠虚拟化，目前的rootkit足以让一般的检测技术兴叹了。

这里的意思并不是说 们在吃老本。用户和内核级的rootkit仍在甚嚣尘上，更加深入地进入企业网络，将其自己隐藏于处理器中，并且利用多核处理器的漏洞为非作歹。

Rootkit：万恶之恶

虽然我们很难说rootkit是如何猖狂，因为这种东西极难发现。但却不能忽视这样一个事实，即受到巨大经济利益的驱使，rootkit越来越频繁地被用于隐藏远程控制程序、键盘记录程序、垃圾邮件僵尸等恶意程序。

举例来说，如2008年最臭名昭著的Rustock.c可以如同病毒一样传播，感染内核驱动程序，并且象孙悟空一样采取多种形态来避免特征检测，可以在80号端号上打开但隐藏一个双向的通信通道。

未来的rootkit的发展趋势是与恶意软件越多地结合，或者说将自己隐藏于恶意软件之中。

这种隐藏技术的最严重后果便是rootkit不但能够轻易的将僵尸隐藏于系统的“视线”之外，还可以避开检测rootkit的最后一道防线-网络检测。

而多数公司需要开放着80号端口，因为其雇员需要使用互联网。一些恶意用户使用这个通道传输数据。作为网管员应当知道，这个端口主要用作进入的而不是发出的通信，因为网管员应当依靠网关设备上的过滤器来扫描发出的HTTP数据通信。当然，这需要好好调教你的过滤器。

恶意的通信还可以借助可接受的发出数据通信来传输。例如，它可依附于发出的DNS数据包上。因此，建议管理员密切监视三种通信，一是突发的通信，二是大文件通信，三是其它的异常通信，

这三者可能表明有人正在远程执行控制命令。

从传统上讲，检测系统上的rootkit要比检测隐藏于网络通信中的rootkit困难得多，因为多数rootkit要比反病毒软件有更高的特权。

不过，我们应当注意这样一个有趣的事实：近来，Vmware公司用其新的VMsafe安全扩展增加了对反病毒的支持，这样就可以在虚拟机监视程序的保护下运行反病毒产品，其特权更高。

可能很多人看过动画片《猫和老鼠》，其中的老鼠经常将猫玩得不亦乐乎。在安全领域中，反恶意代码和rootkit之间的控制和反控制斗争也与此类似。Rootkit可以控制安全软件，并可以控制受感染的计算机。

rootkit检测工具可以吗?

特定rootkit的检测工具，如RootkitRevealer可以找到内核系统调用和直接磁盘检查的差异，并可以据此检测隐藏的文件、注册表键值及其它属性。例如，在Windows计算机上，可以查找任务管理器的进程列表与内部系统任务列表的差异。

不过，要注意，这些工具的运行级别仍低于rootkit。运行于用户系统上的检测程序需要动态分析计算机，看看计算机是否撒谎。但最佳的方法是从一个完全干净的系统检测当前系统。或者用另外一个原来完全相同的系统对当前系统进行对比，找出其差异。

Rootkit要求深度防御

最新的内核级rootkit,将多种类型的恶意代码包装在内,它可以跳转到处理器,在BIOS检测时,再跳转到系统内核,在计算机被清除和恢复后也难于彻底根除。这种永久性rootkit已经成为最危险的rootkit，在两星期以前的黑帽大会上有研究人员已经清楚地演示了这一点。。

还有一种所谓的游戏僵尸，这种程序尤其喜欢多处理器，它可以运行多个线程，又能平衡负载。其中有些僵尸可通过自动的僵尸程序窃取虚拟币或虚拟货物，然后换卖真实的金钱。Rootkit可以从多个方面来利用固件的漏洞，如可借助于启动加载程序、设备驱动程序、闪速固件更新等。

当今的安全技术并没有很好地理解硬件的安全问题，这是一个极危险的现象。无论从硬件上讲还是从软件上看，认为安全公司能够使系统完全避免攻击是是愚蠢的。我们要做的就是要让系统尽量安全。

★ 进入虚拟化 Rootkit呼唤新的安全技术

篇2：进入虚拟化 Rootkit呼唤新的安全技术

由于智能手机可以像计算机一样安装各种来源的第三方应用程序, 于是手机的信息安全问题也日趋严重。根据360安全中心发布《2011年上半年中国手机安全报告》 (以下简称“报告”) 中指出, 1-6月, 国内新增手机木马和恶意软件2559个, 感染手机用户数高达1324万, Android与Symbian平台并列成为手机木马“重灾区”, 手机木马的危害主要集中在恶意扣费和窃取用户隐私。《报告》称, 相较2010年, 中国手机安全领域无论从手机木马种类、数量, 还是感染手段的多样性与感染用户数上, 都呈现出几十倍的大幅增长。但超过60%的手机木马仍活跃在老牌智能操作系统Symbian平台上, 新增恶意软件及木马1591个, 感染手机用户数更高达1206万人次。《报告》分析称, 国内手机木马的恶意行为, 正在由过去的系统破坏转向恶意扣费和窃取用户隐私。比如知名的“X卧底”木马, 其本质就是一款黑客间谍软件, 不仅会回传受害者手机短信, 甚至还能任意监听其通话。《报告》还列举了2011年上半年五大“最恶”木马, 分别为“系统终结者”、“超级大盗”、“勾魂美女”、“X卧底”及水货固件木马“白卡吸费魔”。

一、手机Rootkit

手机木马程序的主要功能是接收程序制造者的一些命令, 然后完成这些命令任务, 同时将结果返回给制造者, 手机木马给人们造成的危害还是以远程窃密、通话监听、信息截获和伪造欺骗为主。它就像是一个安排在我们内部的卧底, 随时都记录我们的一切。

那么Rootkit是什么呢?在计算机安全领域中, Rootkit是指隐藏其他程序进程的软件, 也可以视为一项技术。最早的Rootkit出现是用于开发者对程序的后续修改上面, 但后来被黑客用于入侵攻击他人电脑系统, 隐藏入侵痕迹, 并能在操作系统中隐藏恶意程序。由于Rootkit可以成功将自己隐藏于系统之中, 所以它必须与操作系统紧密相连, 利用底层的核心技术来实现隐身, 往往使用这样的技术时需要系统最高权限, 所以Root (Root-系统最高权限用户) 也表明了这个含义。目前, Rootkit技术也逐渐出现在智能手机平台当中。研究人员指出, Rootkit使用了各种技术, 以保证其不备传统安全软件检测出, 但是, 相比于桌面平台, 移动平台上的安全软件严重匮乏。智能手机上的Rootkit检测技术将会由于手机处理能力限制以及其他因素, 面临着重大挑战。

在智能手机的自带内存和存储卡中存放着各种各样的程序和软件。如果是一些简单的手机病毒程序, 在复制到目标手机当中的时候, 会带来相关程序和软件的数量和文件属性的变化, 这时如果手机系统中安装了防毒软件之类的软件的话, 扫描程序会对其变化进行检查, 如果符合病毒特征, 那么就会被防毒软件进行删除, 根本得不到存活的机会。但是对于手机Rootkit程序来说, 就是另一种情况了。

二、手机Rootkit的隐藏

Rootkit程序的最核心目的就是在于能够利用手机系统的底层技术来达到“高权限”的目的, 这包括文件隐藏、任务隐藏。它可以将自身在手机的文件系统中“隐藏”起来, 让手机的用户及防毒软件等都无法发现这些文件。

1、文件隐藏

手机防毒软件和其他安全软件比较多的采用“文件系统回调函数”来监视手机中文件的变化。这种函数可以在文件属性发生变化之后给防毒软件的应用程序提醒。但是手机系统代码开发阶段, 会考虑到一些对于系统相关的可信任程序或者正常程序在创建和自动删除的时候让手机不用再去响应这些变化, 而忽略它继续完成正常工作。此时手机Rootkit就利用这样的漏洞, 把自己伪装成一个可信任的文件, 欺骗过手机中对文件的监视。那么这样的手机木马程序就会完全让自己隐藏起来。Rootkit还可以根据需要做得更加复杂, 比如当第一次安装到目标手机系统中时, 会将自己存储在手机存储器中的文件删除, 同时监视手机中是否安装防毒软件, 或者监视手机是否即将关机, 再相应的执行下一步的任务。就Android系统进行举例来说, 它系统中的initrc脚本负责所有程序开机启动, 位于“/system/core/rootdir/”下。使用脚本中的“insmod”命令便可以加载Rootkit所在模块, 让Rootkit在开机的时候启动。但是手机用户可以用“lsmod”命令来查看Android加载的模块信息, 而这个命令是用sys_query_module () 进行调用的, 所以为了隐藏Rootkit, 就要删除sys_query_module () 中相关变量, 让它不能查看到Rootkit的信息。

还可以通过在模块中增加代码, 修改内核链表的方法来实现rookie模块的隐藏:

2、任务隐藏

手机防毒软件不光对手机文件系统的文件进行监视, 还对手机的运行任务进行监视。如果病毒木马程序可以对自身的存储进行一个隐藏的话, 但是在后续任务运行过程中还是依然会被防毒软件作为一个“不正常”的程序所监视到, 如果此时这个病毒、木马程序又符合防毒软件提供的病毒特征码的话, 那么这个程序就被杀除。所以说在任务运行阶段的隐藏是非常重要的。但是由于智能手机系统和计算机操作系统存在区别, 对于传统计算机操作系统中的任务隐藏方法还比较复杂。因为在手机系统中, 任务的运行决定着手机系统的正常运行, 如果想要隐藏手机上的任务的话, 很容易造成手机系统的崩溃和“死机”, 导致手机关机。

虽然说对于任务的隐藏比较难以实现, 但是基于Rootkit还是可以找到漏洞。手机系统中也存在一个系统缓存, 存放着手机的核心数据, 这些核心数据一般还会进行加密存储, 有特殊的格式, 这有点类似于计算机系统, 它将运行任务的数据保存在缓存中, 以便于随时调用和修改。如果对这些数据进行破解并修改, 手机系统中的关键显示也相应发生变化。由于手机系统不像计算机操作系统那样复杂, 手机系统可能只是面向一些基础应用居多, 从而在设计的时候就存在巨大的安全漏洞。但是对于手机Rootkit制造者来说, 发现了这些漏洞并找到利用方法, 那么后果很严重。

比如, 在操作系统设计的时候, 系统自身的代码都会在高地址的内存中运行, 这个地址拒绝用户程序访问。当手机Rootkit程序直接访问到了, 又恰好手机系统的开发者没有设置拒绝代码的话, 那么Rootkit可以直接修改这部分内存中的内容, 那么系统本身和其他防毒监视软件都无法再查询到这种改变了。

3、将Rootkit通过驱动程序运行

驱动程序是指直接工作在各种硬件设备上的软件, 让硬件和软件之间能够进行通信, 通过驱动程序, 各种硬件设备才能被系统调用运行, 达到使用目的。这些驱动程序一般都是工作在手机系统中底层部分。智能手机系统也是类似于计算机操作系统的原理, 利用应用程序将手机上的硬件设备进行调用的, 让使用者都能够使用这些硬件, 比如通话、地理位置定位、摄像头使用和无线网络使用等等。如果要使用这些硬件设备, 就需要相应的驱动程序。

随着智能手机技术的快速更迭, 手机上的各种硬件模块也逐渐增多, 并且同一模块品牌不同也有区别。所以手机系统的开发者为了节约设计成本, 不会对每一个硬件设备的驱动程序都自己去编写, 往往将系统的驱动方式告诉给硬件设备提供厂商, 自己则专注于智能系统的开发。

但是这仍然给手机Rootkit的制造者带来机会, 因为不同硬件设备厂商在驱动程序的开发上是不同的。如果这些Rootkit制造者对于某个硬件提供商的设备非常了解, 自己编写出驱动程序, 然后加入自己的病毒、木马代码, 那么这种驱动程序一旦安装到了手机系统中, 就会被当做手机系统的一部分, 并且直接与手机核心数据进行交互, 从而实现修改任务信息、系统运行状态、破坏文件系统等功能。

三、Rootkit的一次简单攻击流程

这里将Android系统做为举例。在Android系统中, Modem是实现电话功能的主要硬件, 通过它与通信网络连接, 传输语音和数据包, 并且收发不同的AT命令, 来完成短信、呼叫等功能。RIL (Radio Interface Layer, 电话接口层) 是核心部分, 负责AT命令在Modem和上层应用之间的可靠的传递解析并作出响应。

在正常工作情况下, 手机接到短信后, 由Modem、RIL向上层应用上报, 最终呈现给手机用户进行查看。但是当植入了手机Rootkit之后, Rootkit会截获Modem上报的所有短信, 并且自行对内容进行分析, 并根据分析的结果触发各种行为。手机Rootkit攻击流程图如图1所示。

为了做出攻击命令格式与正常短信格式的区别, Rootkit制造者对短信指令做了一些规则, 比如:

●短信的一般加上了一些特殊字符, 比如“*****”、“#####”、“*#000”等;

●指令可以由一定的格式组成, 分成多个部分, 可以方便的对应不同的攻击行为, 类似于命令提示, 比如:如发送<*#20><激活码>, 可关闭通话监听功能;发送<*#50><激活码><手机号>, 可添加监听该号码的相关通信;发送<*#73><激活码><第一关键字><第二关键字>, 表示当手机短信包含第一或者第二个关键字, 短信将被自动删除等等。

在这些攻击过程中, 都是在系统内核中完成的, 上层应用根本无法察觉到任何不同, 手机用户在手机界面上也是看不到任何提示。当Rootkit对短信中包含的攻击命令解析之后, 便触发攻击行为, 比如手机监听、关机重启、打开摄像头、GPS定位等。这里就手机监听进行举例。

当手机Rootkit识别到这条短信命令是让它执行“手机监听”后, 就提取命令中的一部分参数作为拨打电话号码, 向手机系统文件中写入AT命令 (调制解调器命令语言) 。如“ATD+电话号码”——拨打向指定的电话号码;“AT+VGM=15”——把话筒声音调至最大 (方便记录语音) ;“AT+VGS=0”——关闭听筒声音 (让手机用户无法察觉) 。

这样一来, 手机Rootkit的控制者便在远端利用被控手机拨打的指定电话, 就可以监听到被Rootkit控制的手机周围环境, 如用户在出席重要会议、进行重要谈话时。被控手机这端由于听筒声音已经被关闭, 而且手机界面根本不发生任何变化, 所以无法察觉, 而且结束通话便能关闭监听。

除了上述的通话监听之外, 还能进行利用被控手机的GPS设备获取GPS定位信息 (操作手机设备文件/dev/smd27) 等, 即都可以通过调用手机系统的相关函数, 进行对手机硬件设备的操控。

四、对于手机Rootkit的防范与检测

由于Rootkit技术本身的隐蔽性和运行效率都比一般的手机病毒要高级很多, 对于Rootkit来说, 手机防毒软件、防进程关闭技术都比一般的程序要底层的多, 所以我们在使用智能手机的时候要注意做好预防工作。

●防止他人直接接触手机, 手机维修、系统刷机、应用程序的安装都要有安全意识;

●在手机上面不要传递敏感信息, 也不要将手机带入重要场合;

●注意手机最高权限的使用;

●安装手机端防毒软件等。

还可以采用一些方面来发现异常:

●检查手机开/关机脚本, 在这两个脚本中Rootkit很可能长期驻留;

●注意手机的电池使用情况, 虽然大屏幕智能手机待机时间都不长, 但是在手机Rootkit对硬件设备进行调用的时候, 还会大幅度的降低手机电池的使用时间;

●查询话费详单;检查手机是否出现突然关机、死机等现象等等。

如果发现有异常可以进行下一步的检测。在Android系统中, 对Rootkit的检测可以通过类似与Linux系统的方法。比如可以根据可执行路径、基于符合执行和基于差异分析等方法来进行检测。相对于目前的智能手机来说, 检测精度较高、对手机整体性能影响小的是基于符号执行的检测。

其检测原理是:一般来说内核模块在加载时会初始化数据结构, 通过函数的调用与内核进行一个交互, 这个时期的调用是不会写入内存的, 然而Rootkit对系统内核的内存写入的地址与正常操作是有区别的。我们根据这个差异定义出内存的一个非法区域和非法内核符号, 在检测中发现了模块提供对非法内存区域写入操作传送了指令, 或者指令集:即是有了非法内核符号的引用, 计算内核内存空间地址, 并对这个地址进行操作, 那么这个模块肯定是Rootkit。

五、结语

随着智能手机的快速普及和手机系统的不断更新, 手机Rootkit还将不断强化底层对抗防毒程序的技术, 隐藏技术也越来越成熟, 手机硬件驱动层的Rootkit也将成为一个发展趋势, 将导致手机信息安全问题更加复杂, 无论是个人隐私, 还是国家安全, 都将受到影响。不管是手机用户、手机厂商和系统程序开发者来说, 都应该提高对手机安全性的重视, 及时升级软硬件系统, 修复系统漏洞, 加强针对手机系统的检测技术, 才能减少手机Rootkit带来的危害。

参考文献

[1]马季兰, 彭新光.Linux操作系统.电子工业出版社, 2005.

[2]王继刚.手机病毒大曝光.西安交通大学出版社, 2009 (10) .

[3]360安全中心.2011年上半年中国手机安全报告.2011 (8) .

[4]南京傲屹电子有限公司.AT命令手册[EB/OL].[2010-08-08].http://blog.csdn.net/linux_lyb/archive/2009/11/07/4781939.aspx.

[5]韩朝, 梁泉.Android系统原理及开发要点详解.电子工业出版社, 2010.

[6]易宇, 金然.基于符号执行的内核级Rootkit静态检测[J].计算机工程与设计, 2006.27 (16) :3064-3068.

篇3：东亚：呼唤新的安全结构

在冷战结束后的１０多年里，东亚的经济与安全生态发生了渐进的然而却是影响深远的变化。这些变化正在推动地区经济合作走向机制性的安排，并呼唤建立新的地区安全结构。

地区安全新趋势

在过去的十年里，东亚地区安全出现了一些新的显著特征，这些特征不但会影响到处理和解决地区安全问题的方式，而且将对地区安全结构产生重要的影响。

第一个特征是从地缘政治关注转变为功能性关注。冷战期间，地缘政治的驱动力主导了两个超级大国之间的全球竞争，也决定了东亚地区的安全议程。然而，随着冷战的结束，大规模毁灭性武器的扩散、恐怖主义、非法移民和毒品泛滥之类的功能性问题成了地区安全的首要议程。由于安全关注的性质的改变，地区安全格局的特征和处理方法也发生了变化。例如，东亚不再被地缘政治和意识形态界限一分为二，相反，各国在应对各种挑战时的共同利益促使它们更多地谋求合作而不是相互竞争。

第二个特征是经济手段在处理安全挑战中的作用日益突出。在朝鲜半岛，韩国正在运用其经济力量促使南北关系从冷战时期的僵持局面转变为谨慎性的和平共处。而且，韩国正试图鼓励朝鲜实施经济改革和开放政策，希望这样一种发展战略能最终促使朝鲜的对外行为更加温和，更有利于半岛和平。在台湾问题上，中国近年来的策略也有所调整，从敦促台湾接受关于两岸统一的政治谈判转变为促进两岸经济一体化。其结果是，台湾海峡两岸之间强有力的经济联系为两岸关系增加了新的动力，从长远来看，这可能为处理台湾问题构建起一个建设性的框架。换言之，它有可能使两岸关系摆脱当前的政治僵局，从而迈向以经济为动力的、逐步演进的和平统一道路。

第三个特征是美国在地区安全方面的影响相对下降。在后冷战时代，华盛顿仍然主要依赖其在冷战期间构建的安全体系———军事同盟和前沿军事部署，这使得美国对地区新的安全议程的反应不是那么有效。传统盟国更加注重寻求自身的安全利益，而不是一味地服从华盛顿的意志。韩美在如何对待朝鲜方面出现的分歧就是一个有力的证明。韩国、泰国和菲律宾等国通过与邻国发展政治、经济和安全联系来努力增大它们的安全系数。对于这些国家而言，美国只是其安全支柱之一而已。

最后一个特征是中国在地区安全方面所扮演的角色发生了变化。正如一位美国学者所观察到的那样，“从历史上看，正是因为中国太弱才导致亚洲出现混乱。当中国变得强大而稳定的时候，秩序才能得到维持”。在２０世纪９０年代中期之前，中国对地区安全的介入属于反应型，且多为双边性质。然而，在过去的几年里，中国变得越来越积极主动。它发起和创建了上海合作组织，并在解决朝鲜核问题上扮演着积极而重要的角色。而且，从中国在参加东盟地区论坛、上海合作组织和朝鲜核问题六方会谈中的表现来看，它在促进多边安全对话和合作方面显得越来越得心应手。考虑到中国日益提高的政治和经济地位，它积极地、建设性地参与地区事务对维护地区和平与稳定具有深远的影响。在某种意义上，这意味着东亚地区新的稳定源的生成。

冷战安全结构的消极影响

随着东亚地区政治、经济和安全环境的急剧变化，冷战时代建立起来的安全结构已经成为制约地区安全的主要因素。这突出地表现在两个长期存在的安全问题上：朝鲜半岛问题和台湾问题。

在冷战时期，朝鲜半岛上形成了两个相互敌对的同盟：一个是北京－平壤－莫斯科轴心，另一个是汉城－华盛顿轴心。数十年来，两个同盟相互对峙，使得东北亚地区的安全环境始终呈紧张态势。冷战的结束使这个次地区的政治和安全结构发生了部分的变化：北京－平壤－莫斯科轴心消失了，莫斯科和北京在２０世纪９０年代早期分别同汉城实现了关系正常化。这一变化极大地改善了东北亚的战略环境。然而，美国未能抓住这次机会去改善同平壤的关系，并将其以遏制为取向的安全态势转变成和平共处的态势。其结果是，朝鲜半岛上出现了力量对比和安全结构的不均衡状况。朝鲜核问题的产生与这种状况密切相关。只要这种力量和结构的不均衡状况继续存在，朝鲜半岛的核问题就不可能从根本上得到解决。

台湾问题之所以如此复杂，不仅是因为两岸存在着难以解开的历史夙嫌、相互不信任和社会与政治差别，而且还因为存在着一个由美国因素所造成的结构性障碍：美国始终将台湾看成是它在西太平洋的势力范围的一部分。在冷战时期，华盛顿把台湾当作遏制中国的桥头堡。在后冷战时代，美国的战略计划者们重新发现了台湾的战略价值：台湾事实上的独立是美国希望维持的现状的一部分，而中国试图收复台湾则是对这一现状的挑战，美国必须予以制止；不仅如此，只要台湾依然和中国大陆分离，北京的很大一部分力量就会被吸收和消耗在处理台湾问题上。出于这种考虑，美国国防部２０００年９月发布的《四年防务评估报告》将“东亚沿海地区（从孟加拉湾到日本海）”确定为对美国利益至关重要的地区，自然而然地，台湾被纳入了这个地缘范围。然而，这种设想忽视了两岸力量对比的变化，也无视两岸日益加深的经济一体化。而且，它给“台独”势力造成一种虚假的安全感，当他们在这种虚假的安全感的蛊惑下试图推动台湾走向法律上的独立时，很可能引起一场甚至连美国都不愿意看到的灾难性的冲突。

新的地区安全结构

东亚地区变化的政治、安全和经济趋势呼唤着新的安全结构，而建立一个“多元的安全共同体”将能够满足这种要求。在亚太地区建立安全共同体是可能的，这是因为和平而稳定的安全环境符合该地区成员的利益，它们本身也从不断扩大的经济联系中获益良多。这样一种共同体也是可行的，因为大国关系在经过一段时间调整后将变得更加稳定，而新建立的地区安全机制将逐渐发展成为促进地区安全问题合作的有效手段。

这里所说的“多元”有两层含义：一是指各成员的安全关切和安全日程的多样性，二是指安全安排的多元性，即共同体是建立在如大国协调、自愿者联合、现存的安全同盟和地区或次地区机制等多种安排上。